勒索软件防范的探索与实践｜证券行业专刊3·安全村

原创上海证券 2025-06-24 08:45 广东

坚守本质

摘要：勒索软件因其独有特性，使企业在防范过程中面临“难发现、难应急和难恢复”的挑战。本文简述上海证券勒索软件防范工作的思路和相关实践，缓解勒索软件带来的安全风险。

关键字：勒索软件、情报、能力评估、风险排查、应急处置、数据备份

一、前言

勒索软件与病毒、木马、蠕虫、间谍软件、广告软件等均属于恶意软件，但勒索软件因隐蔽性强、破环性大和传播速度快以及恢复难度高等特点，使其在恶意软件中“独树一帜”。

2017年，WannaCry勒索软件的爆发标志着勒索软件攻击的全球性觉醒。这场前所未有的网络瘟疫不仅首次将勒索软件的威胁带入了国际视野，更开启了勒索攻击活动的高潮。自此之后，勒索软件的威胁不断升级，其攻击手法变得更加复杂和猖獗，对全球的网络安全构成了持续而严峻的挑战。

据统计，攻击者在投放勒索软件时，远程桌面入侵、漏洞利用以及弱口令成为其主要的投放途径。近年来，勒索软件所带来的数据泄露风险也急剧增加，从行业划分来看，金融行业一直以来是勒索攻击的重要目标。

为保护企业重要数据和投资者个人信息，支撑企业数字化转型并巩固数字化建设成果，同时兼顾“降本增效”大环境下IT投入有限的现状，本文从中小券商视角出发探讨积极利用企业已有资源持续开展勒索软件防范工作，以期为同行提供有益参考。

二、勒索软件防范的探索与实践

1.面临的挑战

勒索软件因其“独树一帜”的特点，使企业在勒索软件防范过程中面临“难发现、难应急、难恢复”的挑战。

1.1难发现

勒索软件的最初攻击策略主要是通过加密数据勒索赎金，目前则多以威胁泄露数据向受害者施压以获得赎金，主要表现为在加密数据之前先窃取数据，然后以数据公开或售卖等形式对受害者进行勒索。这类策略的改变，使得勒索软件的攻击行为更为隐蔽，并且对受害者构成了更大的威胁。

1.2难应急

勒索软件因其破坏性大且传播速度快，使得应急响应变得极为困难。一旦感染，勒索软件能在短时间内对大量数据造成加密或锁定，导致系统瘫痪或重要信息无法访问。同时，若企业网络架构设计不合理，区域隔离不完善，勒索软件往往能利用同类漏洞在网络环境中迅速蔓延，感染更多的设备，进一步加剧了应急响应的复杂性。

1.3难恢复

勒索软件通常采用高强度的加密算法，而且其变种多样，每种变种都可能采用不同的加密算法或攻击手段，加之系统环境复杂多样，导致现有解密工具的有效性严重受限。此外，数据备份机制的不足或失效，以及勒索软件在加密数据之前删除或破坏备份文件的行为，进一步加剧了数据恢复的难度。

2.勒索软件防范的探索与实践

2.1“知彼知己”

通过多种途径收集勒索软件相关的情报信息，以实现“知彼”的目的。

收集方式和途径包括积极响应各级监管部门发布的风险预警和风险排查通知、充分利用行业网络和信息安全态势感知平台提供的情报，以及参考各大安全厂商的研究报告和威胁情报分享。通过多元化的信息来源和多维度的信息整合，逐步深化对勒索软件威胁的理解，并构建更为全面的、有针对性的防御体系。勒索软件情报信息汇总表（表1）：

表1 勒索软件情报信息汇总表

聚焦两个“有什么”——有什么能力，有什么风险，以达到“知己”的目标。

梳理现有安全资源（安全工具、安全服务等），特别是针对勒索软件及其主要投放途径远程桌面，漏洞和弱口令，需要明确现有的安全资源是否具备对应的识别和防护能力。在《勒索软件情报信息汇总表》基础上，扩展为安全资源能力评估表（表2）

表2安全资源能力评估表

完成评估后，基于现有安全资源的识别和防护能力，针对可能被勒索软件利用的攻击方式形成专项风险排查报告，以弱口令为例（表3），并持续推进相关的整改工作。

表3 弱口令专项排查表

综上，通过“知彼知己” 感知内外部环境，为企业持续开展勒索软件防范工作奠定基础。

当然，在条件许可的情况下，企业也可以建立安全防护工具的有效性验证机制，定期或不定期的针对勒索软件防范的特定场景，对安全防护工具及其安全策略进行有效性验证。查漏补缺，不断强化安全工具防护体系，持续优化安全检测和告警策略，以确保安全防护工作的有效性和及时性。

2.2“未雨绸缪”

依据企业网络安全事件应急管理办法和应急预案，制定并不断完善应急响应操作流程，通过定期演练来缓解勒索软件感染后的应急难题。本文不全面阐述由勒索软件感染导致的网络安全事件的整体应急预案，而是聚焦于应急过程中的技术处置策略与措施。

笔者参照《勒索软件防范应对指南》设计应急技术处置流程（图1），并结合企业现有的安全资源，针对流程中各环节制定对应的处置策略与措施。

图1 勒索软件应急技术处置流程

以“确认感染勒索软件”环节为例（图2），基于本文2.1“知己”章节内容，企业的态感平台、SOC或SIEM中应预先设置监测指标，将各类安全工具的事件汇聚分析，关注存在勒索软件特征的异常流量、异常资源占用等。在排查过程中可较为快速的对“感染未加密”情况进行确认，而非感染后在不同的安全工具中逐一排查，导致应急效率降低。

图2“确认感染勒索软件”环节

再如“网络隔离”环节，除了利用基础设施资源，如拔网线、禁用交换机端口，启用网络防火墙deny策略、虚机网卡禁用等隔离手段外，还应考虑在基础设施资源无法及时到位的情况下，如何有效利用安全防护工具的主机入侵防御、主机防火墙、微隔离等功能提升应急处置效率。

笔者认为，应急技术处置的每个环节都应尽可能与安全资源进行对应。日常安全运营过程中，应定期梳理现有的安全资源及能力清单，及时更新勒索场景下的应急预案，确保在紧急情况下能够迅速、准确调用所需资源。

2.3“有备少患”

针对勒索软件感染后难恢复的问题，通过加强数据备份和验证，强化备份系统的安全管控，以及实施备份区域间网络隔离等策略来缓解风险。

依据《证券基金经营机构信息技术管理办法》和《证券期货经营机构信息系统备份能力标准》，企业确定信息系统备份能力等级，实现相匹配的数据备份能力，其中涵盖数据备份的频率、存放的地点以及有效性验证的频率。在有效性验证方面，还需关注通过虚机备份实现数据备份场景下的虚拟机有效性验证。

随着勒索软件从单一形式演变为多重勒索，备份系统的安全管理级别需要相应提升，应将其纳入整体的安全管控范围，以防止备份系统被攻破后导致数据备份失效。

此外，根据信息系统备份能力等级，数据备份会进行本地机房存放、同城存放以及异地存放，通常会由“两地三中心”实现。鉴于勒索软件传播速度快的特点，企业通过网络隔离，禁止开通RDP、139、445等高风险端口，避免风险在两地三中心之间传导。对于必须开通高风险端口且无法进行补丁更新的情况，则利用主机侧安全产品的主机入侵检测、虚拟补丁等功能来降低风险传导的可能性。

三、总结和展望

在勒索软件防范过程中，安全防护工具的重要性不言而喻。然而，这并不意着单纯通过采购新的工具就可以强化安全防护工具体系。特别是在当前“降本增效”的大环境下，笔者认为更应注重熟悉并掌握现有安全防护工具的能力和功能，通过合理配置和优化，充分发挥其最大效用。

此外，在实践中，我们发现充分利用好现有安全资源，确实可以在较大程度上提升风险的检出率。但考虑到对系统运行的影响，以及人员配合程度、操作复杂度等因素，后续整改工作的实际推进仍然面临较大阻力。为应对这一问题，笔者采用了“控增量，去存量”的策略来推进整改工作。“控增量”是指将勒索软件易于攻击利用的风险点作为系统或主机上线前的强制安全检查项，并将风险点纳入日常的专项安全监测。“去存量”则是遵循“先外围，后核心”的原则，即优先处理外围系统安全风险，逐步向核心系统推进，确保整改工作有序开展的同时，也将对系统运行的影响降到最低。